Nova campanha de hackers envolve a implantação de backdoor em redes corporativas para instalar malwares e permitir que os invasores mapeiem a infraestrutura, diz relatório da FireEye
Pesquisadores de segurança cibernética da FireEye estão acompanhando uma campanha de hackers usando um novo tipo de backdoor (porta dos fundos), denominada por eles de “Minebridge”, que tem como alvo principal as instituições financeiras dos Estados Unidos neste ano.
A campanha, que parece ter começado por volta do dia 7 de janeiro, envolve a implantação da backdoor em redes corporativas para instalar malwares e permitir que os invasores mapeiem a infraestrutura, de acordo com um novo relatório da FireEye.
Os hackers primeiro visam os funcionários com e-mails de phishing que contêm documentos anexados maliciosos, em alguns casos um arquivo do MS-Word. Se o destinatário desses e-mails abrir o arquivo malicioso, as macros começarão a instalar a backdoor Minebridge, diz o relatório.
Os e-mails de phishing vieram de domínios criados para parecer legítimos e registrados nas semanas anteriores ao início dos primeiros ataques, de acordo com a FireEye. Em um exemplo, as vítimas receberam mensagens de phishing de um domínio chamado “agent4career.com”, que parecia ser uma empresa de recrutamento, segundo o relatório.
E, embora a maioria dos alvos da campanha da Minebridge sejam instituições financeiras dos EUA, alguns dos e-mails de phishing também foram enviados para organizações sul-coreanas, incluindo uma agência de marketing, segundo o relatório.
“A FireEye ainda não observou nenhum caso em que um host tenha sido comprometido pela Minebridge”, afirma o documento, observando que a campanha ainda está ativa.
Campanhas de phishing
Até agora, os pesquisadores identificaram três campanhas de phishing que tentaram plantar a backdoor Minebridge em redes corporativas.
Na primeira campanha, iniciada em 7 de janeiro, os hackers atacaram empresas financeiras dos EUA usando um e-mail com o assunto “Arquivo de declaração de imposto” e algumas palavras retiradas da Receita Federal dos EUA no corpo da mensagem. A carga maliciosa estava escondida dentro de um documento anexo que parecia vir da H&R Block, empresa que ajuda a preparar declarações de impostos, acrescenta o relatório.
Em 8 de janeiro, e-mails de phishing foram enviados para empresas na Coréia do Sul, de acordo com a FireEye. Essas mensagens usavam linhas de assunto relacionadas a parcerias de marketing. A carga maliciosa estava oculta dentro de um documento do Word anexado e o e-mail continha instruções para “ativar a edição” para visualizar o conteúdo, de acordo com o relatório. Se esse recurso estivesse ativado, as macros poderiam instalar a backdoor.
Em 28 de janeiro, uma terceira campanha de phishing voltou a ser direcionada a instituições financeiras dos EUA com mensagens que pareciam vir de alguém com experiência em finanças em busca de emprego, de acordo com o relatório. Nesse caso, a carga maliciosa foi disfarçada em um documento de resumo anexado, diz a FireEye.
‘VBA Stomping’
Os pesquisadores da FireEye dizem que as três campanhas de phishing usaram uma técnica chamada “VBA stomping” para ajudar a esconder as macros e ignorar a detecção de antivírus e outras ferramentas de segurança.
O stomping do VBA envolve a manipulação de documentos do Office em que o código-fonte de uma macro é feito para diferenciar o pseudocódigo ou o código-p do documento. Usando essa técnica, “as ferramentas de análise estática com foco na extração de fonte de macro do VBA podem ser enganadas em uma avaliação benigna de um documento com código p malicioso”, segundo o relatório.
Os invasores também parecem ter usado outra ferramenta chamada Evil Clippy, que funciona em Windows, Linux e macOS e é capaz de manipular a parte macro da plataforma de testes de penetração do Cobalt Strike para evitar produtos antivírus e outras ferramentas maliciosas de análise de documentos.
Como o Backdoor funciona
Embora os pesquisadores da FireEye não tenham encontrado um caso em que essas campanhas de phishing atingissem seus objetivos, os analistas descobriram mais detalhes sobre a backdoor Minebridge.
Escrito em linguagem de programação C ++, o malware Minebridge se instala no Microsoft TeamView, software de desktop remoto que permite que terceiros se conectem a um dispositivo Windows. Uma vez instalada, a backdoor tenta se conectar a um servidor de comando e controle (C&C) controlado pelos hackers, descobriu a FireEye.
Se instalado com sucesso, o malware oferece aos atacantes recursos como “execução de cargas, download de arquivos arbitrários, exclusão e atualização automáticas, listagem de processos, desligamento e reinicialização do sistema, execução de comandos arbitrários do shell, elevação do processo, ativação/desativação do microfone do TeamViewer” e coleta de informações do sistema [controle de acesso do usuário]”, de acordo com o relatório.
Conexão TA505
Os pesquisadores da FireEye também descobriram que as amostras da Minebridge usam uma chamada de carregador Minedoor, que está associada ao TA505, um grupo avançado de ameaças persistentes que recentemente começou a atingir empresas financeiras após um breve hiato. O TA505 já havia usado o Minedoor para entregar malware backdoor chamado Friendspeak, acrescenta o relatório.
Em janeiro, a equipe da Microsoft Security Intelligence informou que o TA505 havia retornado com uma campanha que usa redirecionadores HTML para entregar documentos Excel maliciosos. O TA505, que se acredita estar na Rússia, tem como alvo bancos, instituições financeiras, varejistas e outras empresas em vários países, incluindo os EUA, nos últimos seis anos.
